If-Koubou

Heartbleed обяснено: Защо трябва да промените паролите си сега

Heartbleed обяснено: Защо трябва да промените паролите си сега (Как да)

Последният път, когато ви предупредихме за сериозен провал в сигурността, беше опасността на базата данни с пароли на Adobe, излагайки на риск милиони потребители (особено тези със слаби и често използвани повторно пароли). Днес ви предупреждаваме за много по-голям проблем със сигурността, "Heartbleed Bug", който потенциално компрометира потресаващите 2/3 от защитните уеб сайтове в интернет. Трябва да промените паролите си и трябва да започнете да го правите сега.

Важна забележка: How-To Geek не е засегната от този бъг.

Какво е сърцето и защо е толкова опасно?

При типичния ви пробив в сигурността са записани потребителски записи / пароли за една компания. Това е ужасно, когато се случи, но това е изолирана връзка. Компанията X има нарушение на сигурността, предупреждава своите потребители и хората като нас напомнят на всички, че е време да започнат да практикуват добра хигиена на сигурността и да актуализират своите пароли. Тези, за съжаление, типичните нарушения са толкова лоши, колкото са. В сърцевината бъг е нещо много,много, по-лошо.

Heartbleed Bug подкопава схемата за кодиране, която ни защитава, докато изпращаме имейли, банки и взаимодействаме по друг начин с уебсайтове, за които смятаме, че са защитени. Ето ясно описание на уязвимостта от Codenomicon, групата за сигурност, която откри и предупреди публиката за грешката:

Heartbleed Bug е сериозна уязвимост в популярната библиотека за криптографски софтуер OpenSSL. Тази слабост позволява кражбата на защитената информация при нормални условия чрез SSL / TLS криптиране, използвано за защита на интернет. SSL / TLS осигурява комуникационна сигурност и поверителност по интернет за приложения като уеб, електронна поща, незабавни съобщения (IM) и някои виртуални частни мрежи (VPN).

Хроничната грешка позволява на всеки в интернет да прочете паметта на системите, защитени от уязвимите версии на софтуера OpenSSL. Това компрометира тайните ключове, използвани за идентифициране на доставчиците на услуги и за криптиране на трафика, имената и паролите на потребителите и действителното съдържание. Това позволява на атакуващите да подслушват комуникациите, да крадат данни директно от услугите и потребителите и да се представят за услуги и потребители.

Това звучи доста зле, нали? Звучи още по-зле, когато разбереш, че приблизително две-трети от всички уебсайтове, използващи SSL, използват тази уязвима версия на OpenSSL. Не говорим за малки сайтове, като горещи форуми или за размяна на карти с карти за събиране на карти, ние говорим банки, компании за кредитни карти, големи е-търговци на дребно и доставчици на електронна поща. Още по-лошо, тази уязвимост е била в дивата природа около две години. Това е две години, когато някой с подходящите знания и умения би могъл да се впише в идентификационните данни за вход и частните съобщения на услугата, която използвате (и според тестовете, извършени от Codenomicon, да го направи без следа).

За още по-добра илюстрация за начина, по който работи сърцето. прочетете този xkcd комикс.

Въпреки че никоя група не е излязла напред, за да се похвали с всички акредитирани данни и информация, която са използвали с експлойта, в този момент в играта трябва да приемете, че идентификационните данни за влизане за уеб сайтовете, които често сте били компрометирани.

Какво да правите след сърдечен бъг

Всяко нарушение на сигурността на мнозинството (и това със сигурност се оценява в голям мащаб) изисква от вас да оцените практиките си за управление на паролата. Предвид широкия обхват на "Heartbleed Bug" това е добра възможност да прегледате вече плавно управлявана система за управление на паролата или, ако сте плъзгали краката си, да я настроите.

Преди да се потопите в незабавното променяне на паролите си, имайте предвид, че уязвимостта се коригира само ако компанията е надстроила до новата версия на OpenSSL. Историята се разпадна в понеделник и ако се втурнахте да промените паролите си незабавно на всеки сайт, повечето от тях все още биха работили с уязвимата версия на OpenSSL.

Сега, в средата на седмицата, повечето сайтове са започнали процеса на актуализиране и през уикенда е разумно да приемем, че по-голямата част от високопрофилните уеб сайтове ще са преминали.

Можете да използвате контрола на Heartbleed Bug тук, за да проверите дали уязвимостта все още не е отворена или дори сайтът да не отговаря на заявките от гореспоменатия контролер, можете да използвате проверката за дата на SSL на LastPass, за да видите дали въпросният сървър е актуализирал SSL сертификат наскоро (ако го актуализираха след 4/7/2014, това е добър индикатор, че са подготвили уязвимостта.)Забележка: ако пуснете howtogeek.com чрез проверката на програмни грешки, това ще върне грешка, защото на първо място не използваме SSL криптиране и ние също така потвърдихме, че сървърите ни не използват никакъв засегнат софтуер.

Това каза, изглежда, този уикенд се оформя, за да бъде добър уикенд, за да стане сериозен за актуализирането на вашите пароли. Първо, имате нужда от система за управление на паролата. Проверете нашето ръководство за започване на работа с LastPass, за да настроите една от най-сигурните и гъвкави опции за управление на пароли. Не е нужно да използвате LastPass, но имате нужда от някаква система, която ще ви позволи да проследявате и управлявате уникална и силна парола за всеки уебсайт, който посещавате.

Второ, трябва да започнете да променяте паролите си. Наръчникът за управление на кризи в нашето ръководство, Как да възстановите след вашата имейл парола е компрометиран, е чудесен начин да се уверите, че не пропускате никакви пароли; тя също така подчертава основите на добрата хигиена на паролата, цитиран тук:

  • Паролите винаги трябва да са по-дълги от минималните, които услугата позволява, Ако въпросната услуга позволява пароли с по 6-20 знака, използвайте най-дългата парола, която можете да запомните.
  • Не използвайте думите на речника като част от паролата си, Вашата парола трябваникогада бъде толкова проста, че едно нагледно сканиране с речников файл ще го разкрие. Никога не включвайте името си, част от данните за вход или имейл или други лесно идентифицируеми елементи като името на фирмата или името на улицата. Също така избягвайте да използвате обикновени клавишни комбинации като "qwerty" или "asdf" като част от вашата парола.
  • Използвайте пароли вместо пароли. Ако не използвате мениджър на пароли, за да си спомните наистина случайни пароли (да, осъзнаваме, че наистина сме в основата на идеята да използваме мениджър на пароли), тогава можете да си спомните по-силни пароли, превръщайки ги в пароли. За вашия амазонски акаунт, например, можете да създадете паролата за лесно запомняне "Обичам да чета книги" и след това да я направите в парола като "! Luv2ReadBkz". Лесно е да се запомни и това е доста силно.

Трето, когато е възможно, искате да активирате двуфакторна удостоверяване. Можете да прочетете повече за двуфакторното удостоверяване тук, но накратко ви позволява да добавите допълнителен идентификационен слой към данните си за вход.

С Gmail например удостоверяването с две фактори изисква не само вашето потребителско име и парола, но и достъпът до мобилния телефон, регистриран в профила ви в Gmail, така че да можете да приемете код за текстово съобщение, който да въведете, когато влезете от нов компютър.

С двуфакторното удостоверяване е много трудно за някой, който е получил достъп до вашите данни за вход и парола (както биха могли с Heartbleed Bug), да имат достъп до профила ви.

Уязвимостите в сигурността, особено тези, които имат толкова голямо въздействие, никога не са забавни, но те ни предлагат възможност да затегнем практиките си за парола и да гарантираме, че уникалните и силни пароли ще запазят вредите, когато това се случи.